Aktualności

Wizualizacja ech ataków DDoS

Data publikacji: 15/07/2011, pp

viz-abstract-a

Od początku lipca w systemie ARAKIS zaobserwowaliśmy wzrost pakietów TCP wysyłanych z portu 80. Ustawione flagi (SYN i ACK) oraz wysoki port docelowy, wskazują na to, że większość jest odpowiedziami na żądanie nawiązania połączenia. Atakujący przeprowadzając ataki typu DoS (odmowa dostępu) często używają sfałszowanych adresów IP aby uniknąć zablokowania maszyn. Aby dokładniej przyjrzeć się charakterystyce analizowanego ruchu, przygotowaliśmy wizualizacje przedstawiające przepływy z portu 80/TCP otrzymywane przez nasze honeypoty.

Czytaj więcej

Ataki na konfiguracje DNS

Data publikacji: 13/07/2011, CERT Polska

padlockBez wątpienia DNS jest jedną z najważniejszych usług w internetowym ekosystemie, zarówno dla zwykłych użytkowników, firm jak i przestępców. Paradoksalnie, przezroczystość i wszechobecność DNSu powoduje, że wielu administratorów nie zdaje sobie sprawy jak poważne konsekwencje mogą nieść za sobą udane ataki na DNS.
Czytaj więcej

Uwaga na wyłudzaczy z Hong Kongu

Data publikacji: 01/07/2011, przemek

Do skrzynek pocztowych polskich internautów trafiły ostatnio maile o treści:

Od: Peter Wong Shun Tung <[...]@[...].hk>
Odpowiedz do: peter[….]@yahoo.com.hk

Witam serdecznie,

Nazywam sie Peter Wong Shun Tung z Hang Seng Bank w Hongkongu i mam do Panstwa delikatna i poufna propozycje z Hong Kongu. Chcialbym zaproponowac relacje partnerskie ktore pomoga zmienic profil pewnych funduszy (22,500,000.00 EUR). Pozwolilem sobie skontaktowac sie z Panstwem, poniewaz nie mieszkaja Panstwo w Hong Kongu. Prosze miec na uwadze, ze cala sprawa musi zostac zakonczona przed uplywem dwoch tygodni. Oczekuje na odpowiedz, o ktora uprzejmie prosze. W nastepnej wiadomosci przekaze wiecej szczegolow o sobie i o prezentowanej przeze mnie propozycji.

Pozdrawiam,
Peter Wong Shun Tung.
peter[….]@yahoo.com.hk

List wysyłany jest z chińskich serwerów. Peter Wong Shun Tung jest w rzeczywistości prezesem banku HSBC. Trudno jednak spodziewać się, żeby z prywatnego konta na Yahoo zapraszał polskich internautów do zrobienia świetnego poufnego interesu. Oczywiście, maile te są próbą wyłudzenia pieniędzy, polegającą na zaangażowaniu odbiorcy w proces rzekomego zdobycia czy przekazania ogromnych funduszy, od których ma on otrzymać znaczący procent. W trakcie okazuje się, że należy uregulować wiele opłat manipulacyjnych, które naturalnie mają zostać później zwrócone z nawiązką.

Wyłudzenia tego typu nie są niczym nowym. Są znane od wielu lat jako „przekręt nigeryjski” (od kraju, którego obywatele rozpowszechnili ten proceder), 419 scam (od numeru artykułu dotyczącego pozyskania cudzego majątku przez oszustwo w nigeryjskim kodeksie karnym) lub z angielskiego „advance-fee fraud”. Procederem tym wielokrotnie trudniły się także zorganizowane grupy przestępcze, głównie z krajów afrykańskich. Należy więc być wyjątkowo ostrożnym w ewentualnych kontaktach z przestępcami. Znane są bowiem przypadki uprowadzeń dla okupu oraz zniknięć bez śladu osób, które próbowały prowadzić grę z przestępcami.

Nowością jest pojawienie się tego rodzaju listów pisanych niemal bezbłędną polszczyzną. Z pewnością w tworzeniu treści brała udział osoba polskojęzyczna. Być może korzystano z „wynajętego” tłumacza, a może doszło do połączenia sił różnych organizacji przestępczych?

W każdym razie, stanowczo zalecamy nie odpowiadanie na podobne emaile niezależnie od proponowanej kwoty wynagrodzenia i języka, w którym list jest napisany.

Nietypowe skanowanie UDP

Data publikacji: 29/06/2011, pp

skanowanie

W zeszłym tygodniu zaobserwowaliśmy interesujący ruch sieciowy, będący efektem skanowania przeprowadzonego na dużą skalę. Skanowanie losowych adresów w celu sprawdzenia ich dostępności lub podatności na ataki nie jest niczym niezwykłym i codziennie rejestrujemy aktywność tego typu. Jednak wspomniany skan miał nietypową charakterystykę, co spowodowało, że postanowiliśmy mu się dokładniej przyjrzeć.

Czytaj więcej

Analiza hamweq – malware służącego do ataków DDoS

Data publikacji: 03/06/2011, CERT Polska

hamweq

W niniejszym opracowaniu opisane zostały działania zespołu CERT Polska związane z analizą oraz monitorowaniem aktywności komputerów zainfekowanych malware hamweq. Celem badania było poznanie mechanizmów działania, rozprzestrzeniania się oraz sposobów zarządzania opisywanym złośliwym oprogramowaniem. Dodatkowo przeprowadzona została analiza komend jaki mogą być przesłane przez botmastera do zombie.

W porównaniu z innymi programami możliwości omawianego malware są stosunkowo ubogie, a kontrola nad zainfekowanym komputerem ogranicza się jedynie do wydawania paru prostych poleceń. Służą one głównie do przeprowadzania ataków DDoS – które stanowią obecnie jedno z największych zagrożeń w sieci (ostatnio często nagłaśnianych w mediach). Hamweq został również wymieniony w raporcie bezpieczeństwa opublikowanych przez Microsoft w połowie 2010 roku jako jeden z najczęściej spotykanych złośliwych programów. Znajduje się on dokładnie na trzecim miejscu, daleko przed takimi malware jak ZeuS czy SpyEye. Ten właśnie fakt, oraz brak dostępnych szczegółowych analiz hamweq w sieci stały się głównym powodem wybrania tego malware jako przedmiotu badania.

Raport można pobrać pod adresem : https://www.cert.pl/wp-content/uploads/2011/06/201106_hamweq.pdf

Fałszywe antywirusy na Mac OS X atakują!

Data publikacji: 19/05/2011, CERT Polska

mac  os x rogue antivirus

Od początku miesiąca w Internecie zamieszczane są informacje o pojawianiu się stron podszywających się pod oprogramowanie antywirusowe dla systemów Mac OS X. Strona wyświetla listę „znalezionych” na komputerze zagrożeń oraz sugeruje instalację oprogramowania, które pozwoli na ich usunięcie. W rezultacie w systemie instalowane jest złośliwe oprogramowanie, które nakłaniania użytkownika do zakupu licencji! Nie są znane inne funkcje tego malware. Czy oznacza to początek ery złośliwego oprogramowania na komputerach Apple?

Jak się chronić ?

Czytaj więcej

Kolejny wyciek… tym razem kod źródłowy trojana ZeuS.

Data publikacji: 12/05/2011, CERT Polska

wyciek kodu zeusa

Na początku tego roku ZeuS zaatakował telefony komórkowe (czytaj więcej…). W marcu na podziemnych forach internetowych pojawiły się pogłoski na temat wystawienia kodu trojana na sprzedaż. Na początku tego tygodnia w internecie pojawiły się informacje o rzekomym wycieku kodu źródłowego. CERT Polska udało się zweryfikować tę informację oraz pobrać paczkę zawierającą kod. Źródło oprogramowania, które jeszcze parę miesięcy temu sprzedawane było za tysiące dolarów, krąży aktualnie niekontrolowane w internecie. Nie jest jak na razie znane źródło wycieku.

Przeanalizowany przez nas zestaw oznaczony jest wersją 2.0.8.9. Zawiera kompletne źródła aplikacji (trojana) oraz panelu zarządzającego. Jest to pokaźna ilość danych do analizy – kod źródłowy samej „aplikacji klienckiej” to około 950 kilobajtów kodu!

Pozyskanie takich informacji przez instytucje zajmujące się bezpieczeństwem teleinformatycznym (między innymi firmy antywirusowe) powinno zdecydowanie ułatwić walkę ze szkodnikiem. Niestety, można również spodziewać się wysypu ataków wykorzystujących szkodliwe oprogramowanie zbudowane z dostępnych źródeł – jak również pojawienie się nowych wariantów bazujących na jego kodzie.

Czytaj więcej

SECURE 2011 – Call for Speakers otwarte!

Data publikacji: 02/05/2011, CERT Polska

Secure 2011Poprzedni rok to nieustający rozwój dziedziny bezpieczeństwa teleinformatycznego. W tym czasie zespół CERT Polska otrzymał ponad 12 milionów zgłoszeń incydentów dotyczących między innymi aktywności botnetów, phishingu, ataków DDoS i spamu. Na świecie pojawiło się pierwsze zagrożenie ukierunkowane na instalacje sieci przemysłowych – robak Stuxnet, zaś ataki DDoS grupy Anonymous zaczęły stanowić zagrożenie dla rządów Państw. Przestępcy wciąż ulepszają swoje techniki działań – rok 2011 powitaliśmy nowymi atakami na konta bankowe, przeprowadzanymi poprzez infekcje telefonów komórkowych. Konferencja SECURE to unikalna okazja, aby posłuchać co maja do powiedzenia o takich wydarzeniach czołowi eksperci z dziedziny bezpieczeństwa z całego świata.

W tym roku konferencja SECURE będzie kontynuowana w udanej formie z roku poprzedniego, stawiając na międzynarodową formułę, wysoki poziom merytoryczny i aktualność poruszanych tematów. Zapewnia to swoim wieloletnim doświadczeniem organizator konferencji – działający w ramach NASK zespół CERT Polska. SECURE jest konferencją poświęconą w całości bezpieczeństwu teleinformatycznemu i adresowaną do administratorów, członków zespołów bezpieczeństwa oraz praktyków z tej dziedziny. Wśród tematów szczególny nacisk kładzie się na praktyczne rozwiązania, najnowsze trendy w przeciwdziałaniu zagrożeniom oraz istotne zagadnienia prawne. Uczestnicy mają dostęp do najnowszej wiedzy, a przez to zyskują możliwość podnoszenia swoich kwalifikacji oraz cenną wymianę doświadczeń.

SECURE 2011 odbędzie się w dniach 24-26 października, w Centrum Konferencyjnym Adgar Plaza w Warszawie. Skupiać się będzie wokół trzech głównych nurtów:
Czytaj więcej

Poważny wyciek danych z Sony

Data publikacji: 27/04/2011, CERT Polska

Wyciek danych z Sony

W oficjalnym komunikacie firma Sony podała, że między 17 a 19 kwietnia miało miejsce włamanie do usług PlayStation Network oraz Qriocity. Usługi te zostały natychmiast odłączone od Internetu (w chwili publikacji tej wiadomości CERT Polska nie ma żadnych oficjalnych informacji kiedy zostaną przywrócone). Łupem bliżej niesprecyzowanych osób padły dane prawie 80 milionów klientów Sony – co stawia ten incydent na pierwszym miejscu pod względem wielkości pośród znanych wycieków danych. Wykradzione informacje zawierają m.in. loginy, hasła, nazwiska, adresy zamieszkania i email, daty urodzin i najprawdopodobniej numery kart kredytowych wykorzystywanych do zakupów w PSN i Qriocity. Sony na wszelki wypadek zaleca skrupulatne sprawdzanie wyciągów z kart płatniczych oraz zastrzega, że nie będzie pod żadnym pozorem wysyłać do klientów emaili z prośbą o podanie jakichkolwiek danych (w szczególności haseł czy numerów kart). Warto zauważyć, że na dodatkowe niebezpieczeństwo narażone są osoby, które wbrew zaleceniom specjalistów od bezpieczeństwa, używają jednego hasła do wielu serwisów – powinny jak najszybciej zmienić hasło do konta email zarejestrowanego w PSN.

Analiza złośliwego dokumentu PDF używanego do instalacji SpyEye

Data publikacji: 08/04/2011, CERT Polska

Jak przekonaliśmy się kilka dni temu, złośliwe dokumenty PDF pozostają jedną z popularnych metod rozprzestrzeniania się malware’u typu banker-trojan. Złośliwy dokument PDF, o którym pisaliśmy, wykorzystuje lukę w programie Adobe Reader do przeprowadzenia włamania na komputerze użytkownika, który go otworzył, po czym instaluje w systemie trojana SpyEye.

Czytaj więcej